Festi

Rootkit y botnet informáticos

Festi es un rootkit y una botnet también conocida por su alias Spamnost , y participa principalmente en ataques de spam de correo electrónico y de denegación de servicio . Funciona bajo sistemas operativos de la familia Windows. En otoño de 2009 ^{[1] [2]} Festi apareció por primera vez en la vista de las empresas dedicadas al desarrollo y venta de software antivirus . En ese momento se estimaba que la botnet en sí constaba de aproximadamente 25.000 máquinas infectadas, mientras que tenía una capacidad de volumen de spam de aproximadamente 2.500 millones de correos electrónicos no deseados al día. ^{[3] [4] [5]} Festi mostró la mayor actividad en 2011-2012. ^{[6] [7]} Estimaciones más recientes, fechadas en agosto de 2012, muestran que la botnet envía spam desde 250.000 direcciones IP únicas, una cuarta parte de la cantidad total de un millón de IP detectadas que envían correos spam. ^[8] La principal funcionalidad de la botnet Festi es el envío de spam y la implementación de ciberataques como " denegación de servicio distribuida ". ^[9]

Métodos de distribución

La distribución se realiza con el uso del esquema PPI (Pago Por Instalación) ^[10] . Para evitar la detección por parte de los antivirus, el cargador amplía el cifrado ^[10], lo que complica la detección basada en firmas .

Arquitectura

Todos los datos representados sobre la arquitectura de la botnet los hemos recopilado de la investigación de la compañía antivirus ESET. ^{[10] [11] [12]} El cargador descarga y configura un bot que representa un controlador en modo kernel que se agrega a la lista de controladores que se inician junto con un sistema operativo. En el disco duro sólo se almacena la parte del bot que es responsable de la comunicación con el centro de mando y la carga de los módulos. Luego de iniciarse el bot solicita periódicamente al centro de comando recibir una configuración, carga de los módulos y los trabajos necesarios para su ejecución.

Módulos

De las investigaciones realizadas por los especialistas de la empresa antivirus ESET se sabe que Festi tiene al menos dos módulos. Uno de ellos está destinado al envío de spam (BotSpam.dll), otro a la implementación de ciberataques del tipo "denegación de servicio distribuida" (BotDoS.dll). El módulo para la implementación de ataques cibernéticos como "denegación de servicio distribuido" admite los siguientes tipos de ataques cibernéticos, a saber: inundación TCP, inundación UDP, inundación DNS, inundación HTTP(s) y también paquetes de inundación con un número aleatorio en la cuestión del protocolo utilizado.

El experto del laboratorio de investigación de botnets " Kaspersky Lab " concluyó que hay más módulos, pero no todos se utilizan. Su lista incluye el módulo para implementar el servidor de calcetines (BotSocks.dll) con los protocolos TCP y UDP, el módulo para ver y controlar remotamente la computadora del usuario (BotRemote.dll), el módulo que implementa la búsqueda en un disco del computadora remota y en una red de área local (BotSearch.dll) a la que está conectada la computadora remota, módulos grabber para todos los navegadores conocidos actualmente (BotGrabber.dll).

Los módulos nunca se guardan en un disco duro, lo que hace casi imposible su detección.

Interacción de red

El bot utiliza el modelo cliente-servidor y para su funcionamiento implementa su propio protocolo de interacción de red con el centro de comando, que se utiliza para recibir la configuración de una botnet, cargar módulos, así como para recibir trabajos del centro de comando y notificar al centro de comando sobre su ejecución. . Los datos están codificados, lo que interfiere con la determinación del contenido del tráfico de la red.

Protección contra detección y depuración

En caso de instalación, el bot apaga el firewall del sistema , oculta el controlador en modo kernel y las claves del registro del sistema necesarias para la carga y el funcionamiento, se protege a sí mismo y a las claves del registro para que no se eliminen. La operación con una red ocurre a un nivel bajo que permite eludir fácilmente los filtros de red del software antivirus. Se observa el uso de filtros de red para impedir su instalación. El bot comprueba si se ha iniciado en la máquina virtual y, en caso de un resultado positivo de la comprobación, detiene las actividades. Festi comprueba periódicamente la existencia de un depurador y puede eliminar puntos de interrupción .

El enfoque del desarrollo orientado a objetos

Festi se crea utilizando tecnología de desarrollo de software orientada a objetos que complica fuertemente las investigaciones mediante el método de ingeniería inversa y hace que el bot sea fácilmente portado a otros sistemas operativos.

Control

Todo el control de la botnet Festi se realiza a través de una interfaz web y se realiza a través del navegador.

¿Quién respalda a Festi?

Según los especialistas de la empresa antivirus ESET, ^[12] el periodista y bloguero estadounidense Brian Krebs , ^[13] el experto en el campo de la seguridad de la información, según el periodista estadounidense del periódico The New York Times Andrew Kramer, ^[14] y también del Fuentes cercanas a los servicios de inteligencia rusos, el arquitecto y desarrollador de la botnet Festi, el hacker ruso Igor Artimovich .

Conclusión

En conclusión, se puede decir que la botnet Festi era una de las botnets más poderosas para enviar spam y llevar a cabo ataques como "denegación de servicio distribuida". Los principios mediante los cuales se construye la botnet Festi aumentan la vida útil de los bots en el sistema tanto como sea posible, lo que dificulta la detección de bots por parte del software antivirus y los filtros de red. El mecanismo de los módulos permite ampliar la funcionalidad de la botnet en cualquier lado mediante la creación y carga de los módulos necesarios para lograr diferentes objetivos, y el enfoque de desarrollo orientado a objetos complica la investigación de la botnet con el uso de métodos de ingeniería inversa y da la Posibilidad de que el bot se traslade a otros sistemas operativos a través de una demarcación precisa de la funcionalidad específica de un sistema operativo concreto y la lógica restante del bot. Los potentes sistemas de lucha contra la detección y la depuración hacen que el bot Festi sea casi invisible y sigiloso. El sistema de vinculación y uso de centros de mando de reserva ofrece la posibilidad de recuperar el control sobre la botnet después del cambio de centro de mando. Festi es un ejemplo atípico de software malicioso, ya que sus autores se tomaron muy en serio el proceso de desarrollo. ^[15]

Ver también

• Redes de bots
• malware
• Guerra cibernética

Referencias

1. Lewis, Daren (5 de noviembre de 2009). "Festi Botnet se convierte en una de las principales botnets de spam". Conexión Symantec .
2. Kaplan, Dan (6 de noviembre de 2009). "Aparece la botnet Festi". Revista SC .
3. Jackson Higgins, Kelly (6 de noviembre de 2009). "Nueva botnet de spam en aumento: lectura oscura". lectura oscura . Archivado desde el original el 7 de agosto de 2012 . Consultado el 15 de diciembre de 2013 .
4. Wattanajantra, Asavin (6 de noviembre de 2009). "'Festi' crece hasta convertirse en un peso pesado del spambot ". ITPRO .
5. "Botnet Festi está aumentando enormemente". Luchador de spam . 18 de noviembre de 2009.
6. Kirk, Jeremy (16 de agosto de 2012). "Spamhaus declara muerta la botnet Grum, pero surge Festi". Mundo PC .
7. Kirk, Jeremy (17 de agosto de 2012). "Spamhaus declara muerta la botnet Grum, pero Festi surge". Asesor de PC . Archivado desde el original el 15 de diciembre de 2013 . Consultado el 4 de diciembre de 2013 .
8. Saarinen, Juha (20 de agosto de 2012). "La botnet Festi aumenta los volúmenes de spam". Noticias de TI .
9. "La botnet Festi ayuda a lanzar un ataque 'DDoS' de denegación de servicio". Detener a los piratas informáticos . 13 de junio de 2012.
10. Matrosov, Aleksandr (11 de mayo de 2012). "Rey del spam: análisis de la botnet Festi". ESET .
11. Rodionov, Eugenio (2011). "Análisis e investigación de la botnet Festi" (PDF) . ESET . Archivado desde el original (PDF) el 15 de diciembre de 2013.
12. Matrosov, Aleksandr (12 al 14 de noviembre de 2012). "Análisis e investigación de Festi Botnet" (PDF) . AVAR 2012 . Archivado desde el original (PDF) el 15 de diciembre de 2013.
13. Krebs, Brian (12 de junio de 2012). "¿Quién es el Botmaster 'Festi'?". Krebs sobre la seguridad .
14. Kramer, Andrew (2 de septiembre de 2013). "Un ataque en línea lleva a echar un vistazo a la guarida de spam". Los New York Times .
15. "Festi: malicioso e incorpóreo". Revista Xakep . Septiembre 2012.

enlaces externos

• Las 10 principales botnets y su impacto, 9 de diciembre de 2009, Las 10 principales botnets y su impacto, Help Net Security
• Las 10 botnets que arrojan spam "más buscadas" Rustock, Mega-D, Festi y Pushdo se encuentran entre los peores infractores de botnets, 15 de julio de 2010, Ellen Messmer, Network World
• La nueva era de las botnets, libro blanco
• La botnet Festi toma el control tras el cierre de Grum, 17 de agosto de 2012, ComputerWorld UK
• Botnets de spam: la caída de Grum y el ascenso de Festi, 16 de agosto de 2012, Thomas Morrison, SPAMHAUS
• Spamhaus: Grum Dead, Festi Alive and Well 22 de agosto de 2012, Malcolm James, Todo spam
• La amenaza global de las botnets, 14 de noviembre de 2012, MacAfee